【資訊安全】金融機構辦理電腦系統資訊安全評估辦法（Part 1）

金融監督管理委員會（以下簡稱「金管會」）為確保金融機構具備一定的資訊安全防護能力，針對銀行、保險業（人壽保險、產業保險）、證券商和期貨商訂定一系列的資訊安全相關規範。

以銀行來說，就是標題提到的《金融機構辦理電腦系統資訊安全評估辦法》；保險業適用《保險業辦理資訊安全防護自律規範》；證券商應遵循《建立證券商資通安全檢查機制》；期貨商則是《建立期貨商資通安全檢查機制》…

事實上，資安法規大同小異，有興趣的讀者可以比較《金融機構辦理電腦系統資訊安全評估辦法》第五條及《保險業辦理資訊安全防護自律規範》附件一。本文將重點放在銀行適用的《金融機構辦理電腦系統資訊安全評估辦法》，除逐條說明法規內容外，另提出評估方式及檢視重點。

為了使版面乾淨，方便各位讀者閱讀，在此不將完整的法條貼上，讀者可以自行下載完整的法規（參考連結）。
接下來，讓我們進入《金融機構辦理電腦系統資訊安全評估辦法》（以下簡稱「評估辦法」）吧！

第一條 前言
為確保金融機構提供電腦系統具有一致性基本系統安全防護能力並遵循中華民國銀行商業同業公會全國聯合會制訂之「金融機構資訊系統安全基準及「金融機構辦理電子銀行業務安全控管作業基準」，擬透過各項資訊安全評估作業，發現資安威脅與弱點，藉以實施技術面與管理面相關控制措施，以改善並提升網路與資訊系統安全防護能力，訂定本辦法。

法規的第一條多半會交代立法依據、目的或適用範圍，評估辦法當然是為了提升金融機構（銀行）的資安防護能力囉~

第二條 用詞定義
一、SWIFT：係指環球銀行金融電信協會（Society for Worldwide Inter bank Financial Telecommunication）。
二、物聯網設備：係指具網路連線功能並連線於Internet或Intranet之崁入式系統（具有小型作業系統）設備，包含自動化辦公設備（如數位錄影機、電話交換機、傳真機、錄音設備、影印機等）及不具備遠端操控介面功能之感測器。

對於熟悉銀行存匯業務的人來說，肯定對SWIFT不陌生。SWIFT推出一系列國際通匯系統（以下簡稱「SWIFT系統」），用於國際間的資金移轉。此外，SWIFT針對旗下系統發布《用戶安全計畫》（SWIFT Customer Security Programme），未來將會以專文說明。

金融機構最常見的物聯網設備是事務機、閉路電視（CCTV）和補摺機，上述設備都屬於物聯網設備的範疇；「不具備遠端操控介面功能之感測器」可指溫度計、溼度計等感測器。

第三條 評估範圍
一、金融機構應就整體電腦系統（含自建與委外維運）依據本辦法建構一套評估計畫，基於持續營運及保障客戶權益，依資訊資產之重要性及影響程度進行分類，定期或分階段辦理資訊安全評估作業，並提交「 電腦系統資訊安全評估報告」，辦理矯正預防措施，並定期追蹤檢討。
二、評估計畫應提報董（理）事會或經其授權之經理部門核定，但外國銀行在臺分行，得由總行授權之人員為之。評估計畫至少每三年重新審視一次。

銀行應建立一套資訊安全評估計畫。但因評估辦法沒有規範計畫內容，多數銀行會直接引用評估辦法的條文。評估人員應留意計畫是否依據法規更新，或每三年重新審視。一般來說，評估計畫會提報董事會核定。

銀行應建立電腦系統（含自建與委外維運）清冊，並依資訊資產之重要性及影響程度進行分類。銀行應依據系統分類定期辦理資訊安全評估，並提交「電腦系統資訊安全評估報告」。有關系統分類依據及評估頻率，請詳見第四條。

銀行應針對評估過程中提出的缺失項目進行改善，並送稽核單位進行追蹤覆查。建議評估人員向受評機構調閱前次評估報告，一方面瞭解銀行的整體資訊環境，一方面瞭解銀行在哪一個管理環節上較為薄弱，今年度評估時可以深入釐清。

第四條 電腦系統分類及評估週期
一、電腦系統依其重要性分為三類：
二、單一系統且為數眾多之設備得以抽測方式辦理，抽測比例每次至少應 占該系統全部設備之10％或 100台以上（如ATM、KIOSK及分行櫃台端末設備等）；其中相同作業系統與安全更新之ATM及ATM之相關伺服器至少應抽測一台，相同 ATM之相關伺服器應用系統版本至少應抽測一台。
三、單一系統發生重大資訊安全事件，應於三個月內重新完成資訊安全評估作業。

直接提供客戶服務（如網路銀行）或對營運有重大影響系統（如核心系統、SWIFT系統）屬於第一類；有人工介入提供客戶服務的系統（如客服系統）屬於第二類；未接觸客戶資料或對營運無重大影響的系統屬於第三類（如會計系統）。第一、二類系統的差異在於有無提供自動化服務，至於對營運影響程度，可以從業務衝擊分析（BIA）判斷；第二、三類系統的差異在於有無接觸客戶資料。此外，第一類系統應每年辦理評估；第二類系統應每三年辦理評估；第三類系統應每五年辦理評估。

辦理資安檢測時，若設備數量眾多，得採用抽測方式進行。然而，多數金融機構會針對所有適用的系統或設備辦理檢測，如滲透測試（Penetration Testing）、原始碼檢測（Source Code Review）和弱點掃描（Vulnerability Assessment）。一般來說，只有辦理惡意程式檢測時，因為檢測方式較為繁瑣，才會用抽測方式進行。

抽測ATM前，請先向受評機構確認採用的ATM廠牌有哪些，目前主要廠牌包含Diebold、Hitachi和NCR，每一個廠牌的ATM應至少抽測一台。檢測項目請詳見《金融機構提供自動櫃員機系統安全作業規範》第五條。

如果銀行發生重大資安事件時，應針對受影響系統辦理資安評估。評估人員可以向銀行徵提事件通報/處理記錄，以瞭解完整事件。